넷마블(Netmarble)에서 제공하는 온라인 게임을 다운로드하기 위하여 Netmarble Download 프로그램을 실행할 경우 AVG 보안 제품에서 "C:\Netmarble\NetmarbleDownLoaderNet\GridDownload.exe" 파일에 대하여 위협 요소로 차단하는 문제에 대해 살펴보도록 하겠습니다.

 

해당 문제 구현을 위하여 넷마블(Netmarble) 게임 중 야채부락리 온라인 게임을 예로 사용하였으며, 게임 실행시 동작이 아닌 게임 설치를 위한 파일 다운로드 과정에서 문제가 발생하고 있습니다.

Internet Explorer 웹 브라우저를 이용하여 넷마블의 야채부락리 온라인 게임을 설치할 목적으로 다운로드를 시도할 경우 NMGridDownActiveX.cab과 Netmarble Grid Download ActiveX를 순서대로 설치해야 합니다.

 

이를 통해 "C:\Windows\NMGridDownloaderUpdater.exe → C:\Netmarble\NetmarbleDownLoaderNet\NMGridDownloader.exe → C:\Netmarble\NetmarbleDownLoaderNet\GridDownload.exe" 파일의 동작 과정을 거쳐 다음과 같은 Netmarble Download 창이 생성됩니다.

Netmarble Download 창에서는 야채부락리 설치 파일(yaburi_install1664.exe)을 다운로드할 수 있도록 지원하고 있는데, 이 과정에서 AVG 보안 제품이 설치된 환경에서는 다음과 같은 진단창이 생성됩니다.

생성된 진단창을 확인해보면 "일반 동작 기반 검색" 기능을 통해 "C:\Netmarble\NetmarbleDownLoaderNet\GridDownload.exe" 파일을 위협 요소로 진단하여 사용자에게 보호(삭제) 또는 허용 여부를 묻는 창이 생성됩니다.

"세부 정보 표시"를 클릭하여 진단된 부분에 대해 확인해보면 "일반 동작 기반 검색(Identity Protection)" 기능을 통해 GridDownload.exe 파일 동작시 진단된 것을 알 수 있습니다.

 

  해외 무료 백신 : AVG Anti-Virus Free Edition 2011 - Identity Protection 기능 (2010.11.10)

 

Identity Protection 기능은 AVG 2011 버전에 처음으로 추가된 보호 기능으로 악성 프로그램으로 추정되는 프로그램이 실행시 위와 같이 진단하여 사용자로 하여금 허용 여부를 묻는 행위 기반 진단 방식입니다.

AVG Internet Security 2013 버전의 환경 설정(고급 설정)을 살펴보면 "Identity Protection 설정" 기능은 기본값으로 활성화되어 있으며, 발견시 사용자에게 항상 질문을 하여 실행 여부를 묻도록 설정되어 있습니다.

 

특히 Identity Protection 진단은 AVG 보안 제품에서 정식(휴리스틱) 진단명을 통해 진단되지 않는 알려지지 않은 보안 위협으로부터 파일 실행 과정에서 실행 여부를 묻는 방식입니다.

 

실제로 Netmarble Download 창 생성시 실행되는 "C:\Netmarble\NetmarbleDownLoaderNet\GridDownload.exe" 파일(MD5 : bb65ac01117c8e46c5d223896abd937c)에 대하여 AVG 보안 제품에서는 진단명을 통한 진단은 이루어지지 않는 파일입니다.

 

그러므로 Netmarble Download 창 생성시 AVG 진단창이 생성될 경우에는 GridDownload.exe 파일 실행이 이루어질 수 있도록 "허용" 버튼을 클릭하시기 바랍니다.(※ 만약 일정 시간 사용자가 보호 또는 허용 버튼을 클릭하지 않은 상태로 유지할 경우 자동으로 보호로 변경되어 파일 삭제가 이루어집니다. 삭제된 파일은 검역소에 보관되므로 파일 허용을 위해서는 복원 후 재실행하여 허용하시기 바랍니다.)

허용으로 선택된 GridDownload.exe 파일은 자동으로 예외 목록에 추가가 이루어지며, Netmarble Download 프로그램을 정상적으로 사용할 수 있습니다.

참고로 예외 목록에 등록된 경우 환경 설정(고급 설정)의 예외 메뉴에서 확인할 수 있으며, 해당 예외 처리는 Identity Protection 구성 요소에 한하여 예외 처리된 것으로 차후 GridDownload.exe 파일이 악성 파일로 확인되어 정식 진단이 이루어질 수 있습니다.

모든 조치가 완료된 후 Netmarble Download 창 생성을 통해 게임 다운로드를 실행하려고 할 경우 "Microsoft Visual C++ Runtime Library" 창을 통해 "C:\Windows\NMGridDownloaderUpdater.exe" 파일에 대한 에러 메시지가 생성될 경우에는 모든 웹 브라우저를 종료한 후 다시 넷마블(Netmarble)에 접속하여 다운로드를 실행하면 정상 동작합니다.

 

AVG 보안 제품을 사용하는 과정에서 실시간 또는 정밀 검사에서는 진단되지 않던 파일이 프로그램 실행시 Identity Protection 기능을 통해 진단되어 실행 여부를 묻는 경우가 있을 수 있으며, 사용자들은 우선적으로 함부로 실행하지 마시고 해당 파일을 바이러스토탈(VirusTotal) 또는 보안 업체에 문의하여 안전성 여부를 먼저 확인하시는 것이 중요합니다.

블로그 이미지

울지않는 벌새

울지않는벌새가 되고 싶은 나..